A publicidade da Google encontra-se, mais uma vez, a ser usada para campanhas para sites com conteúdos enganadores. Desta vez os alvos são utilizadores do popular Homebrew, um popular programa open source para gestão de pacotes no macOS e Linux.
Foi recentemente descoberto que existe uma nova campanha de publicidade maliciosa na Google, que usa o sistema da empresa para propagar falsos sites sobre o Homebrew, em pesquisas relacionadas com o mesmo. Quando os utilizadores pesquisam pelos termos associados ao Homebrew, nos primeiros resultados podem surgir anúncios para sites que possuem versões modificadas do programa, contendo malware.
Segundo o investigador Ryan Chenkie, a campanha começou a usar o sistema de publicidade da Google de forma recente, mas tem vindo a continuar ativa nas últimas semanas. A versão modificada do programa integra o infostealer AmosStealer, focado para sistemas macOS, e que pode roubar dados de login e outra informação sensível dos sistemas das vítimas.
A campanha usa a publicidade da Google para surgir nos primeiros resultados de certos termos de pesquisa, como até o próprio nome do programa. Desta forma, os utilizadores podem ter a tendência de acederem imediatamente ao primeiro resultado, sem validarem se é realmente o link legítimo.
A publicidade apresenta mesmo o URL correto para o site brew.sh, mas quando os utilizadores carregam no mesmo, são direcionados para um site completamente diferente, onde se encontra a versão maliciosa. Isto deve-se ao facto da publicidade da Google permitir colocar qualquer endereço no campo de URL.
O site malicioso tenta imitar o design e estrutura do site oficial do Homebrew, incluindo o comando que os utilizadores devem usar para instalar a aplicação. Mas invés de usar o link direto para descarregar o script de instalação, encontra-se um domínio diferente desconhecido, onde se encontra o malware.
Se instalado, o infostealer Amos passa a tentar roubar o máximo de informação possível do sistema das vítimas, incluindo dados de carteiras de criptomoedas, dados de login guardados nos navegadores e outros conteúdos como cookies.
Mike McQuaid, criador do Homebrew, afirma ter conhecimento desta situação, mas ao mesmo tempo indica que existe pouco que possa ser feito, uma vez que a campanha usa o sistema de publicidade da Google – embora se possa reportar a publicidade maliciosa, nem sempre isso previne que a campanha desapareça por completo.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech